Le identità dei workload gestite consentono di associare identità con attestazione forte ai workload di Google Kubernetes Engine (GKE) e Compute Engine. Sono incluse anche le identità degli agenti, progettate per i workload agentici.
Google Cloud esegue il provisioning delle credenziali X.509 e dei trust anchor emessi da Certificate Authority Service. Le credenziali e gli ancoraggi attendibili possono essere utilizzati per autenticare in modo affidabile il tuo workload quando comunica con altri workload tramite l'autenticazione mutual TLS (mTLS).
In anteprima sono disponibili le seguenti funzionalità:
- Workload Identity gestite per GKE
- Workload Identity gestite per Compute Engine
- Richiedere l'accesso alle identità dei workload gestite per Compute Engine
- Identità degli agenti
Interoperabilità SPIFFE
Per consentire l'interoperabilità in ambienti dinamici ed eterogenei, le identità del workload gestite si basano su Secure Production Identity Framework For Everyone (SPIFFE). SPIFFE definisce un framework e un insieme di standard per identificare, autenticare e proteggere le comunicazioni tra i workload. I workload SPIFFE sono identificati da un ID SPIFFE univoco. In Google Cloud, un ID SPIFFE ha i seguenti formati:
Workload di Compute Engine:
spiffe://POOL_ID.global.PROJECT_NUMBER.workload.id.goog/ns/NAMESPACE_ID/sa/MANAGED_IDENTITY_IDCarichi di lavoro GKE:
spiffe://PROJECT_ID.svc.id.goog/ns/KUBERNETES_NAMESPACE/sa/KUBERNETES_SERVICE_ACCOUNTWorkload di identità dell'agente:
spiffe://agents.global.org-ORGANIZATION_ID.system.id.goog/resources/aiplatform/projects/PROJECT_NUMBER/locations/LOCATION/reasoningEngines/AGENT_NAME
Gerarchia delle risorse
Questa sezione descrive le risorse dell'identità dei workload gestita.
Pool di identità del workload
Le identità del workload gestite sono definite all'interno di un pool di identità del workload, che funge da limite di trust per tutte le identità all'interno del pool. Il pool di identità del workload forma il componente del dominio attendibile dell'identificatore SPIFFE dell'identità del workload gestita. Ti consigliamo di creare un nuovo pool per ogni ambiente logico della tua organizzazione, ad esempio sviluppo, staging o produzione.
Spazi dei nomi
All'interno di un pool di identità del workload, le identità del workload gestite sono organizzate in limiti amministrativi chiamati spazi dei nomi. Gli spazi dei nomi ti aiutano a organizzare e concedere l'accesso alle identità dei workload correlate.
Policy di attestazione
L'identità dei workload gestita per Compute Engine richiede la configurazione delle policy di attestazione.
Workload Identity gestita per GKE gestisce le policy di attestazione per te.
I criteri di attestazione dei workload consentono di definire a quale workload può essere rilasciata una credenziale per un'identità dei workload gestita in base agli attributi verificabili del workload, come l'ID progetto o il nome della risorsa. Un criterio di attestazione del workload garantisce che solo i workload attendibili possano utilizzare l'identità gestita.
Passaggi successivi
Configura l'autenticazione con identità dei workload gestita per Compute Engine.
Configura l'autenticazione delle identità dei workload gestite per GKE.
Scopri di più sull'utilizzo delle identità dei workload gestite con i workload di Compute Engine.
Scopri di più sull'utilizzo dell'identità dell'agente con Vertex AI Agent Engine.
Provalo
Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $di crediti senza costi per l'esecuzione, il test e il deployment dei workload.
Inizia senza costi